可用于 Adobe Experience Manager 的安全更新

发布日期:2016 年 2 月 9 日

上次更新日期:2016 年 2 月 12 日

漏洞标识符:APSB16-05

优先级:2

CVE 编号:CVE-2016-0955, CVE-2016-0956, CVE-2016-0957, CVE-2016-0958

平台:Windows、UNIX、Linux 和 OS X

摘要

Adobe 已为 Adobe Experience Manager 发布安全修补程序。这些修补程序解决了可能导致信息泄露的重要漏洞。

受影响的版本

产品 受影响的版本 平台
  6.1.0 Windows、UNIX、Linux 和 OS X
Adobe Experience Manager 6.0.0 Windows、UNIX、Linux 和 OS X
  5.6.1 Windows、UNIX、Linux 和 OS X

解决方案

Adobe 建议实施内部部署的客户安装下述修补程序。此外,客户应查看并执行版本 6.16.05.6.1 安全清单中概述的步骤。

产品 版本 优先级 获取途径
  6.1.0
2 修补程序 (6.1.0)
Adobe Experience Manager 6.0.0 2 修补程序 (6.0)
  5.6.1 2 修补程序 (5.6.1)

有关可用修补程序的详细信息,请访问 Adobe Experience Manager 帮助页面

漏洞详情

描述 CVE 下载包
  • 修补程序 8364 包括一个 Java 反序列化问题缓解代理
CVE-2016-0958

适用于 6.1 的修补程序
适用于 6.0 的修补程序
适用于 5.6.1 的修补程序

  • 修补程序 8651 解决了可能导致信息泄露的跨站点脚本漏洞,此漏洞仅影响版本 6.1.0
CVE-2016-0955

适用于 6.1 的修补程序

  • 修补程序 6445 解决了影响 Apache Sling Servlets Post 2.3.6 及早期版本的信息泄露漏洞
CVE-2016-0956

适用于 6.1 的修补程序
适用于 6.0 的修补程序
适用于 5.6.1 的修补程序

  • 调度程序 4.1.5 和更高版本解决了可能被用来绕过调度程序规则的 URL 过滤器绕过漏洞
CVE-2016-0957 调度程序

鸣谢

Adobe 感谢以下人员报告这些问题并与 Adobe 共同保护客户的安全:

  • 来自 Compass Security Schweiz AG 的 Damian Pfammatter (CVE-2016-0955)
  • Ateeq ur Rehman Khan - Vulnerability Labs (@CyberCrimeNEWS) (CVE-2016-0956)

修订

2016 年 2 月 12 日:

  • 添加了“及早期版本”以明确说明 CVE-2016-0956 会影响 Apache Sling Servlets Post 2.3.6 及早期版本。 
  • 修改了对 CVE-2016-0955 的描述以明确说明仅版本 6.1.0 会受到影响。而 AEM 6.1.0 之前的版本不会受到 CVE-2016-0955 的影响。 
  • 使用表格格式重新调整了“漏洞详情”部分的格式,并提供了每个修补程序下载包的 URL。